Règlement général sur la protection de données (RGDP) - Union Européenne

Owned by Catherine C-Ménard (Unlicensed)
Last updated: mai 31, 2018 by Michel Frigon
3 min read

Note:

Notez que les propos ci-bas ne remplacent en rien les documents officiels de la réglementation. L'information y est regroupée et présentée à titre informatif seulement sans exposer l'état complet de la réglementation.

Faits saillants

  • Entrée en vigueur du règlement : 25 mai 2018
  • Comme la loi C-28 s'appliquant à toutes communications électroniques envoyées aux Canadiens de la part d'entreprise canadiennes ou étrangères, le règlement général sur la protection des données s'applique aux entreprises hors Union européenne qui ciblent des résidents de l'UE (soit en affaires directement avec un produit ou service, ou encore par profilage).
  • On ajoute une notion de "consentement explicite ou positif", tel que le prévoit la loi C-28 canadienne.
  • Droit à l'oubli: Un résident de l'UE peut dorénavant se prévaloir du droit à l'effacement des ses données à caractère personnel. Le responsable doit s'engager à supprimer ces données dans les meilleurs délais. La fonctionnalité manuelle de supression d'un lead dans la plateforme de marketing relationnel permet de répondre à cet exigence. Attention toutefois de supprimer également la donnée source si elle est également sauvegardée du côté du client.
  • Droit à l'accès: Un résident de l'UE peut dorénavant demander de recevoir les données le concernant dans un format structuré et lisible par machine, dans le but de se prévaloir du droit à la portabilité des données personnelles. Lorsque possible, ces données peuvent être transportée d'un responsable à un autre.
  • Droit à la portabilité: Un résident de l'UE peut dorénavant demander de recevoir les données le concernant dans un format structuré et lisible par machine, dans le but de se prévaloir du droit à la portabilité des données personnelles. Lorsque possible, ces données peuvent être transportée d'un responsable à un autre.
  • Droit à l'objection: Un résident de l'UE a le droit de ne pas faire l'objet d'une décision à caractère exclusivement automatisé qui produit des effets juridiques le concernant ou l'affectant de manière significative.
  •  Le concept de protection des données dès la conception et de sécurité par défaut est introduit. Toute organisation faisant affaires avec des résidents de l'UE doit prendre en compte les exigences de protection des données personnelles dès la conceptions de produits ou services qui exploitent des données personnelles.Toute organisation doit également se prévaloir d'un système d'information sécurisée, par défaut.
  • Les entreprises faisant affaires avec des résidents de l'UE seront tenus de notifier l'autorité nationale de protection en cas de violation grave afin que les personnes concernées puissent prendre les mesures nécessaires.
  • Les entreprises devront nommé un "Data Protection Officer" obligatoirement s'ils remplissent les critères ci-dessous. La mission du DPO consiste à faire respecter le règlement, de faire office de point de contact avec l'autorité et de répondre aux questions des personnes qui souhaitent exercer leur droit.
    • Traitement des données effectué par une autorité ou un organisme publique
    • Traitement des données qui exigent un suivi régulier et systématique à grande échelle par le responsable ou un sous-traitant
    • Traitement des données à caractère sensible (état de santé, fragilité, infractions, condamnations, etc.)
  • Le règlement prévoit également que des études d'impact sur la vie privée soient réalisées lorsque les activités peuvent avoir des conséquences importantes sur la protection des données personnelles.
  • L'élaboration d'un code de conduite destiné à contribuer à la bonne application du règlement est encouragée.


ASTUCES

Pour tout les détails concernant le règlement général sur la protection des données, consultez les liens suivants :